Ducktail情報スティーラー検出: 新たなマルウェアでビジネスアカウントを乗っ取る犯罪ハッカー

財政的に動機づけられた犯罪者のハッカーが、Ducktailと呼ばれる新しい情報窃取マルウェアを利用してブラウザのクッキーを抽出し、被害者のFacebookビジネスアカウントを乗っ取ります。証拠によると、このキャンペーンの背後にいる敵対者はベトナムを拠点としており、主に人事、管理、マーケティングの専門家をターゲットにしています。Ducktailキャンペーンの積極的な開発の始まりは、2021年の後半にまでさかのぼることができます。

敵対者はLinkedInでのスピアフィッシングキャンペーンによりマルウェアを広めています。

Ducktailマルウェアキャンペーンの検出

システムを 情報窃取マルウェア から守るためには、Ducktailのような専用の Sigmaルール を経験豊富なコンテンツ貢献者の Aytek Aytemur:

新しいDucktailインフォスティーラー（via process_creation）

この検出は24のSIEM、EDR、XDRプラットフォームに対して翻訳されています。このルールはMITRE ATT&CK®フレームワークv.10に沿っており、防御回避、実行、コマンド＆コントロール戦術に取り組み、プロセスインジェクション（T1055）、ユーザー実行（T1204）、Webサービス（T1102）を主な手法としています。

経験豊富な脅威ハンターや新進の脅威ハンターも、SOC Primeの Threat Bounty Program に参加して、専門的な指導と安定した収入を得ることが歓迎されます。

SOC PrimeプラットフォームのThreat Detection Marketplaceリポジトリで情報窃取マルウェア妥協に対処する検出コンテンツの更新をフォローして、新たに発生する脅威についてよく理解してください。- 検出の表示 ボタンは、26+のSIEM、EDR、XDRソリューションに翻訳された規則の膨大なライブラリに案内します。業界をリードする検索エンジンで 脅威ハンティング、脅威検出、サイバー脅威インテリジェンスを検索し、MITRE ATT&CKおよびCTIの参照、CVEの説明、検出にリンクされた実行可能バイナリなどのコンテキストメタデータを伴う関連Sigmaルールに瞬時にアクセスできます。- 脅威コンテキストの探索 ボタンをクリックしてください。

検出とハンティング 脅威コンテキストの探索

Ducktail分析

Ducktailと称されるマルウェアキャンペーンは、分析者によって詳述されています WithSecure。観測された攻撃によれば、Ducktailの運営者はFacebookのビジネスと広告プラットフォームへの管理アクセスを持つ企業ユーザーをターゲットにし、Dropbox、Apple iCloud、MediaFireにホストされた偽のFacebook広告情報をダウンロードさせます。Ducktailキャンペーンの背後にいる脅威アクターが、武器化されたアーカイブファイルを送信してLinkedIn経由でマルウェアを拡散することもあります。攻撃は広範囲であり、さまざまな業界分野のグローバルな被害者をターゲットにしています。

Ducktail情報窃取マルウェアは.NET Coreで書かれています。敵対者は、指揮統制通信とデータ抽出のためにTelegramを使用します。被害者がマルウェアを実行すると、感染したデバイスにインストールされたブラウザをスキャンし、保存されたクッキーとすべての関連するFacebookデータを抽出します。マルウェアは、バックグラウンドで無限ループを実行し、継続的なデータ抽出プロセスを確立します。

現代のサイバー武器競争で、犯罪者のハッカーが起こす攻撃への迅速な対応は、あなたの会社を深刻な財政的および評判的な打撃から救います。 SOC Prime に参加し、防御を強化し、集団のサイバーセキュリティの専門知識で脅威検出を変革しましょう。